HSTS, le supercookie qui vous traque même si vous refusez les cookies tiers |
————— 19 Octobre 2015 à 11h45 —— 13419 vues
HSTS, le supercookie qui vous traque même si vous refusez les cookies tiers |
————— 19 Octobre 2015 à 11h45 —— 13419 vues
Comme on l'a vu dans notre papier au sujet des cookies et de leur utilisation sur le web, tous ne sont pas utiles et certains sont plus coriaces que d'autres, c'est le cas de ceux qu'on appelle les supercookies. HSTS est l'un d'eux et, même s'il est à la base pensé pour sécuriser le web (il sert à demander l'utilisation de l'HTTPS et à s'assurer que seul ce lien soit utilisé par la suite), son fonctionnement fait qu'il peut aider à "traquer" votre comportement.
Pour prendre l'exemple du fichier répondant à cet usage sur Firefox (SiteSecurityServiceState.txt que vous trouverez dans votre profil utilisateur), une fois ouvert il vous présentera une liste de sites que vous avez consulté et sans action de votre part, la liste n'ira qu'en grandissant. Ca n'a rien de dramatique à la base, sauf lorsque ça permet de vous identifier. Un site, conçu par Sam Greenhalgh, permet de présenter là où le bât blesse. Lorsque vous vous rendez sur sa page, un script vous crée un identifiant et l'écrit dans ce fameux fichier. Cet identifiant (affiché en clair sur la page) restera le même lors de vos prochains passages et dans le cas où vous utiliseriez une centralisation de vos données (type Cloud sous iOS), vous aurez le même sur différents appareils. Point encore plus amusant, un autre site (celui-ci) arrivera à lire exactement la même ID.
Comment vous protéger contre cela ? Refuser les cookies tiers ne suffira pas. La méthode la plus simple est de ne naviguer qu'en mode "privé" si votre navigateur le permet. Pour être certains que ces données sont effacées, vous pouvez aussi configurer votre navigateur pour qu'il efface les préférences de sites consultés à chaque fermeture du navigateur, mais ça risque de déplaire à ceux qui choisissent un thème sur une page, aiment être connectés automatiquement ou autres facilités du web. La troisième méthode est de supprimer le contenu du fichier texte à la main (navigateur éteint) ou de demander à un logiciel type CCleaner de le faire pour vous. Enfin, pour être certain que ce fichier ne peut pas être utilisé contre vous, la méthode la plus radicale (pour Firefox) est de le vider puis de le passer en lecture seule pour que le navigateur ne puisse plus écrire à l'intérieur, vous aurez alors le soin de demander des pages en HTTPS, car HSTS ne pourra plus le faire pour vous. (source : Ghacks)
Sinon, adoptez un Cookie Monster !
Un poil avant ?Windows 10 build 10568 déjà en fuite sur le net | Un peu plus tard ...Kaby Lake repoussé à 2017 et Cannonlake à 2018 ? |